Há um viés cognitivo ao qual os seres humanos são particularmente suscetíveis, e ele está no centro de alguns dos desafios que os profissionais de cibersegurança enfrentam diariamente. Ele é conhecido como viés da normalidade, que a Dra. Lauren Braithwaite define como "nossa tendência de subestimar a possibilidade de um desastre e acreditar que a vida continuará normalmente, mesmo diante de ameaças ou crises significativas". É por isso que as pessoas hesitam após o acionamento de alarmes de incêndio ou demoram a reagir em situações que ainda parecem administráveis.
Como esse viés pode nos levar a confundir familiaridade com segurança e suposições com evidências, ele está cada vez mais atrapalhando a capacidade de lidar com a realidade da cibersegurança. Ele faz com que as pessoas subestimem a probabilidade de um ciberataque ou interpretem a ausência de problemas ou consequências visíveis como prova de que os riscos estão sob controle. Na prática, muitas organizações tratam a falta de alertas claros em suas plataformas de proteção como sinal de que tudo está bem. Outras não agem com rapidez suficiente diante de sinais de alerta porque partem do pressuposto de que os negócios simplesmente continuarão como de costume.
Enquanto isso, apesar do fluxo constante de manchetes sobre violações em organizações como M&S, JLR e Co-op (e a grande maioria das violações nunca chega às primeiras páginas), e das orientações da indústria de cibersegurança e de órgãos governamentais sobre como evitar se tornar a próxima vítima, o número de incidentes graves continua crescendo em um ritmo alarmante.
O NCSC Annual Review 2025 registrou 204 ciberataques "nacionalmente significativos" nos 12 meses até agosto de 2025, um aumento de 130% em relação aos 89 registrados no ano anterior. Dos 429 incidentes totais, 18 foram classificados como "altamente significativos", representando um aumento de 50% nos incidentes graves. As taxas de violação permanecem persistentemente elevadas, o que pode refletir uma normalização gradual do risco de violações e ser visto como o viés da normalidade em escala: quanto mais comuns se tornam as divulgações de violações, menor pode ser a urgência que cada uma delas transmite.
Lições aprendidas?
Há uma frase que governos e empresas costumam repetir quando uma catástrofe de qualquer tipo ocorre, incluindo uma violação de cibersegurança: "Lições foram aprendidas".
Mas foram mesmo? O aumento de 130% nos incidentes significativos entre 2024 e 2025 desafia fortemente essa afirmação e aponta para lições que, em nível macro, simplesmente não foram assimiladas. A resposta parece ser um sonoro não.
No ano passado, publiquei um artigo que pode, em parte, explicar o estado psicológico após uma violação. Argumentei que muitas empresas estão, em certo sentido, simultaneamente comprometidas e não comprometidas, e comparei essa situação ao gato de Schrödinger. Até que você abra a caixa, analisando logs ou buscando ativamente por uma invasão, o conforto de "não fomos violados" reflete apenas o fato de que ninguém verificou de verdade. Na prática, essa relutância em investigar também pode ser o viés da normalidade agindo silenciosamente.
"Lições foram aprendidas" é o que acontece depois de abrir a caixa, encontrar o gato (infelizmente) morto e declarar: "sabemos o que aconteceu, temos a situação sob controle, não se preocupem". Isso é narrativa, não evidência de uma mudança real de abordagem.
Por outro lado, o aprendizado verdadeiro é um processo proativo que muda a forma como as organizações precisam se comportar. Isso deve se refletir em mudanças de orçamentos, políticas, regras, planejamento de recuperação, escrutínio de fornecedores, registro de logs, monitoramento, treinamento e tolerância a erros, entre outros aspectos. E tudo isso feito antes que a violação inevitável ocorra. Afinal, é muito mais difícil acertar um alvo em movimento.
Portanto, se conseguirmos aceitar que o viés da normalidade é uma condição cognitiva humana e comum, podemos avançar para evitar a complacência antes de uma violação e minimizar seu impacto. "Errar é humano", mas agora que conhecemos essa falha, temos a obrigação de agir com base nesse conhecimento e fazer as coisas de forma diferente.
Desfecho: e se ainda não reconhecermos esse viés?
Os "auditores" cibercriminosos contam com o erro humano. Afinal, é por isso que o phishing ainda é uma das formas mais comuns de violações.
Há dois caminhos principais pelos quais o desfecho se desenrola em cibersegurança.
Ou realizamos auditorias regulares em nós mesmos, executando testes de pentest, exercícios de red team, blue team e purple team e outras simulações de ataque, reavaliando periodicamente o cenário de ameaças e investindo em segurança como parte da nossa estratégia de resiliência cibernética.
Ou permitimos que os cibercriminosos façam a "auditoria" por nós. Eles se apoiam em uma falsa sensação de segurança, literalmente, e essa é a brecha que exploram.
Ser "auditado" por cibercriminosos pode ser brutal, custoso, devastador e, em muitos casos, fatal para as organizações. É por isso que essa metáfora importa: os cibercriminosos descobrem a distância entre o que uma organização acredita sobre sua segurança e o que a realidade de fato revela.
Para ter uma dimensão do cenário, o ESET Threat Intelligence processa 750 mil amostras suspeitas e analisa 2,5 bilhões de URLs, bloqueando 500 mil delas, todos os dias. Os cibercriminosos são implacáveis e, à medida que seus ataques se tornam cada vez mais sofisticados, precisamos abandonar qualquer ideia de que somos invulneráveis. É preciso aceitar que o viés da normalidade existe e agir com base nessa consciência.
Diante de uma série de violações de alto perfil no setor varejista do Reino Unido, a ESET realizou uma pesquisa com 2.000 consumidores. O relatório resultante revelou, entre outros dados, que 46% dos consumidores levariam 5 meses ou mais para recuperar a confiança em uma empresa após uma violação de dados. Essa é uma auditoria cara. Basta fazer uma conta simples para estimar o dano financeiro direto, caso seja isso que a alta gestão considera relevante. Por si só, esse número já deveria ser suficiente, ainda que muitas vezes represente apenas a ponta de um iceberg muito doloroso.
O que está em jogo?
Um aspecto do viés da normalidade que considero mais intrigante é que, apesar do aumento na sofisticação, velocidade, volume e variedade dos vetores de ataque, nossa abordagem às estratégias de resiliência cibernética frequentemente permanece ancorada no passado, mesmo que seja um passado relativamente recente. Mas o tempo passa rápido em cibersegurança, e nos 4 ou 5 minutos que você levou para ler este artigo, a ESET já processou mais de 2.000 amostras suspeitas e escaneou aproximadamente 7 milhões de URLs, bloqueando cerca de 1.500 delas.
Ao questionar por que devemos revisar nossa provisão de serviços de cibersegurança, estamos levando em conta todos os parâmetros que mudaram, globalmente e localmente, nos últimos anos e como isso pode afetar nossa postura de segurança atual?
Logo de cara, você provavelmente consegue listar pelo menos alguns deles:
- Crescimento das fraudes e outras ameaças impulsionadas por IA.
- A guerra na Ucrânia.
- Irã.
- Aumento do custo do cibercrime em todo o mundo.
- Deepfakes.
- Aumento dos ataques de engenharia social.
- Persistência do phishing como principal vetor de ataque.
- Complexidade crescente das soluções e serviços de cibersegurança.
- Lacunas preocupantes na capacitação profissional em cibersegurança.
Há muitos outros, sem dúvida. E não é coincidência que o nível de proteção oferecido pelos fornecedores há poucos anos esteja sendo descontinuado, e que os serviços e soluções de MDR/XDR/MXDR estejam se tornando o padrão do mercado.
Os "auditores" cibercriminosos certamente não ficaram parados nesse tempo. Embora o uso de novas ferramentas, como a IA, não signifique necessariamente um código mais sofisticado, ele permite que escalem ataques massivamente e varram sistemas em busca de vulnerabilidades em um ritmo sem precedentes.
- Se você não está investindo em auditoria, testes, conscientização cibernética e tecnologias de prevenção, não está economizando dinheiro. Está simplesmente terceirizando sua segurança para os cibercriminosos.
- Os executivos de alto escalão se engajam mais com a cibersegurança imediatamente após uma violação custosa, quando a normalidade é abalada. Faça-os se engajar antes.
- Os cibercriminosos trabalham 24 horas por dia, com IA agêntica ao lado deles. Suas soluções são resilientes o suficiente para lidar com isso? Verifique.
- Independentemente do porte da sua organização, você precisa avaliar seu perfil e sua resiliência cibernética constantemente.
- Não confunda silêncio (de incidentes) com segurança. Invista em serviços de MDR 24 horas por dia, 7 dias por semana.
- Agora que você conhece a armadilha do "viés da normalidade", evite-a.




